Benutzerinformationen überspringen
User
Registrierungsdatum: 10.03.2005
Derivat: Ubuntu
Architektur: 64-Bit PC
Desktop: GNOME 3.0
Andere Betriebssysteme: debian
Jedes Zertifikat hat eine Gültigkeitsdauer. Die kann zwar auch "unendlich" sein, aber irgendwann gibt es eine Startzeit. Und daher stehen Beginn und Ende der Gültigkeit im Zertifikat drin. Man kann sehr wohl eines erstellen, das erst in zwei Monaten für zehn Tage gültig sein wird. Davor und danach sollte jeder Browser eine Ungültigkeits-Warnung ausgeben.
Zitat von »Claw«
Außerdem kann man einem Zertifikat nicht ansehen ob es ausgetauscht
wurde oder nicht da die Aussteller den alten Gültigkeitszeitraum
übernehmen. Daher sieht es genauso aus wie das alte Zertifikat nur
mit anderem Fingerprint.
dass ich hier nach einer Lösung suchte, ist für dich etwas anderes als "sich mit der Materie zu beschäftigen"? Ich versteh grad die Logik deiner Denke nicht so rechtZitat
Bei tausenden Besuchen pro Tag muss es sich ja lohnen sich mit der
Materie zu beschäftigen, oder simpel ein Webhosting zu finden welches
mit diesem "Andrang" zu Recht kommt...
Hab ich doch gemacht, hast es nicht gelesen?PS: Ein Paket aktualisieren gehört schon noch in den Bereich des Machbaren von einem "Laien-Admin"! Ich würde gar empfehlen solche Aktualisierungen regelmässig zu machen!
Das widerspricht meiner Aussage ja nicht.Außerdem kann man einem Zertifikat nicht ansehen ob es ausgetauscht wurde oder nicht da die Aussteller den alten Gültigkeitszeitraum übernehmen.
Benutzerinformationen überspringen
User
Registrierungsdatum: 10.03.2005
Derivat: Ubuntu
Architektur: 64-Bit PC
Desktop: GNOME 3.0
Andere Betriebssysteme: debian
Zitat
13. April 2014 20:27
Re: Massenrückruf kann man schon
Bernd Paysan, Bernd Paysan (mehr als 1000 Beiträge seit 11.01.00)
knidder schrieb am 13. April 2014 17:25
> Dann erklär mir mal, warum man Rootkeys zurückrufen soll, die mit dem
> Internet noch nie in Kontakt gekommen sind? Aus reinem AKtionismus
> oder was?
Weil wir ein ganz großes Problem bei der Auswertung der CRLs haben:
Das funktioniert nämlich nicht (oder zumindest vor 3 Jahren nicht):
> https://www.imperialviolet.org/2011/03/18/revocation.html
Wer also einen Key erbeutet hat, der kann mit dem zwar
zurückgezogenen, aber vom Timestamp nach wie vor gültigen Zertifikat
eine MITM-Attacke fahren, die nicht erkannt wird.
Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von »floogy« (14.04.2014, 14:40)
Benutzerinformationen überspringen
User
Registrierungsdatum: 14.09.2005
Derivat: Xubuntu
Architektur: 64-Bit PC
Desktop: XFCE
Für mich gehört als verantwortungsvoller Admin, dass man sich zunächst über grundlegende Themen einliest! Und nicht mal faul in ein Forum schreibt! Hilfe ich habe Problem so und so...dass ich hier nach einer Lösung suchte, ist für dich etwas anderes als "sich mit der Materie zu beschäftigen"? Ich versteh grad die Logik deiner Denke nicht so recht
Benutzerinformationen überspringen
User
Registrierungsdatum: 10.03.2005
Derivat: Ubuntu
Architektur: 64-Bit PC
Desktop: GNOME 3.0
Andere Betriebssysteme: debian
Benutzerinformationen überspringen
User
Registrierungsdatum: 14.09.2005
Derivat: Xubuntu
Architektur: 64-Bit PC
Desktop: XFCE
Nun gut aber die meisten Webseiten wie z. B. dieses Forum haben die Daten von gewissen Personen teilweise schon fast öffentlich. Und bei mehr Interesse denke ich mal kann eine NSA so eine Forendatenbank schon holen...Außerdem ist es möglich so die verschlüsselte Information der letzten zwei Jahre zu entschlüsseln, solange nicht das selten implementierte Perfect Forward Secrecy vom Websitebetreiber angewendet wurde.
Benutzerinformationen überspringen
User
Registrierungsdatum: 10.03.2005
Derivat: Ubuntu
Architektur: 64-Bit PC
Desktop: GNOME 3.0
Andere Betriebssysteme: debian
Dieser Beitrag wurde bereits 5 mal editiert, zuletzt von »floogy« (14.04.2014, 22:09)
Benutzerinformationen überspringen
User
Registrierungsdatum: 14.09.2005
Derivat: Xubuntu
Architektur: 64-Bit PC
Desktop: XFCE
Ich meine damit jeder soll damit rechnen, dass man seine Daten bei den verschiedensten Webseiten lesen kann (jeder Admin hat ja seinen Server immer 100% sicher ). Und dann macht es mir nichts/weniger aus wenn man Daten von vor 2 Jahren kryptographisch entschlüsseln kann.Deinen letzten Absatz kann ich voll unterstreichen, auch wenn ich dem Anfang Deines Posts nicht folgen mag, vieles von dem ist natürlich so, aber ich weiß nicht genau worauf Du hinaus willst.
Die werden wohl eher das Problem haben mit zu vielen Daten. Sprich wenn man einfach mal "alles" logt, dann muss man die Nadel im Heuhaufen finden, wobei die Nadel der Terrorist istNaja, und wenn die NSA schon alles weiß, dann ist ja sowieso alles egal, oder?
Benutzerinformationen überspringen
User
Registrierungsdatum: 10.03.2005
Derivat: Ubuntu
Architektur: 64-Bit PC
Desktop: GNOME 3.0
Andere Betriebssysteme: debian
Ja klar sollte man das immer im Hinterkopf behalten, nur finde ich Deine Schlussfolgerung ziemlich zynisch, bzw. als Bankrotterklärung der informationellen Selbstbestimmung und gefährlich für das Selbstverständnis als Teil dieser Gesellschaft. Ich verstehe aber die Frustration, die dahinter steckt, denke aber nicht, dass Aufgeben eine Alternative ist. Also immer schön die Schere im Kopf behalten und selbst vorsortieren.Ich meine damit jeder soll damit rechnen, dass man seine Daten bei den verschiedensten Webseiten lesen kann (jeder Admin hat ja seinen Server immer 100% sicher ). Und dann macht es mir nichts/weniger aus wenn man Daten von vor 2 Jahren kryptographisch entschlüsseln kann.
Ich meine aber auch sensiblere Daten, denn dafür ist die sichere Verbindung ja vorgesehen. Dass alle meine Rezepte sehen können, wenn ich sie auf chefkoch veröffentliche will ich ja, das steckt ja schon in der Wortbedeutung. Hier geht es aber um sensible Bereiche, und dass diese nun, mit dieser eklatanten Schwachstelle in OpenSSL, theoretisch in der Öffentlichkeit oder gegenüber Stellen ausgestellt sind, von denen ich nicht will, dass sie an diesen Informationen teilhaben, sei es der BND, die NSA oder ein krimineller Ring, der mit meiner Kreditkartennummer demnächst einkaufen geht. Das schlimme ist ja, dass ich durch diese Schwachstelle völlig im Unklaren über die Sicherheit dieser sensiblen Daten zurückbleibe, und dass auch noch für die letzten zwei Jahre. Wenn man den Schlüssel hat ist es nicht sehr aufwendig die verschlüsselten Daten zu durchforsten, mit Big-Data geht das. Du hast natürlich recht, dass schon das Metadaten-Profil uns zu gläsernen Internetbewohnern macht, und dass die Daten zum großen Teil unverschlüsselt in Datenbanken gelangen, die eventuell auch nicht sicher vor dem Zugriff der Schwarzhüte sind. Die Konsequenz müsste also Deiner Meinung nach in der Abstinenz von online Ticket-Einkäufen, Internet-Shopping, online-banking und online-Bürgeramt-Nutzung liegen? Wie stellst Du Dir denn die vernetzte Arbeit von Verwaltungen, Regierungsstellen und medizinischen Einrichtungen so vor, wenn einem kryptografische Sicherheitssystem erst mal egal sind, da man kapituliert hat? Die Frustration über die Situation verstehe ich natürlich, aber das Achselzucken finde ich eher gruselig.Den die Daten sind ja bei den meisten Webseiten über Jahre hinweg noch vorhanden! Also warum einen Krypto-Stream entschlüsseln, wenn man sich gleich eine Datenbank vornehmen könnte? Oder gar ein Benutzerkonto erstellen kann und fast alle Forenbeiträge von Person xy lesen kann...
Ich will damit sagen der Aufwand um einen Krypto-Stream zu entschlüsseln ist zu gross.
Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »floogy« (15.04.2014, 12:47)
Benutzerinformationen überspringen
User
Registrierungsdatum: 14.09.2005
Derivat: Xubuntu
Architektur: 64-Bit PC
Desktop: XFCE
Wer hat die Kapazität zwei Jahre Datenverkehr zu lagern/analysieren?Das schlimme ist ja, dass ich durch diese Schwachstelle völlig im Unklaren über die Sicherheit dieser sensiblen Daten zurückbleibe, und dass auch noch für die letzten zwei Jahre.
Ne ich hab nicht kapituliert! Hab ja selber erwähnt, dass Banken wohl nach wie vor sicher sind! Internet-Shopping ist halt immer so eine Sache, viele wollen gleich eine Kreditkarte bei der hat man immer noch die Möglichkeit eine Buchung zu stornieren.Die Konsequenz müsste also Deiner Meinung nach in der Abstinenz von online Ticket-Einkäufen, Internet-Shopping, online-banking und online-Bürgeramt-Nutzung liegen? Wie stellst Du Dir denn die vernetzte Arbeit von Verwaltungen, Regierungsstellen und medizinischen Einrichtungen so vor, wenn einem kryptografische Sicherheitssystem erst mal egal sind, da man kapituliert hat
Benutzerinformationen überspringen
User
Registrierungsdatum: 10.03.2005
Derivat: Ubuntu
Architektur: 64-Bit PC
Desktop: GNOME 3.0
Andere Betriebssysteme: debian
Wer hat die Kapazität zwei Jahre Datenverkehr zu lagern/analysieren?
Ne ich hab nicht kapituliert! Hab ja selber erwähnt, dass Banken wohl nach wie vor sicher sind! Internet-Shopping ist halt immer so eine Sache, viele wollen gleich eine Kreditkarte bei der hat man immer noch die Möglichkeit eine Buchung zu stornieren.
Was Bürgeramt betrifft, kann ich nur sagen was ist das? Eine Steuererklärung wird auch nicht online ausgefüllt, du hast selber gute Beispiele gezeigt
Ja, das ist tatsächlich eine interessante Frage.Viel interessanter ist Übrigens die Frage wie wird bei OpenSSL gearbeitet, welche Code-Reviews gibt es da? Sie haben nach Hilfe gerufen, wie z. B. hier erwähnt.
Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von »floogy« (17.04.2014, 10:37)
Benutzerinformationen überspringen
User
Registrierungsdatum: 14.09.2005
Derivat: Xubuntu
Architektur: 64-Bit PC
Desktop: XFCE
Klar nicht aber der Hacker wird auch die Lücke direkt ausgenutzt haben! Dazu braucht es auch nicht zwei Jahre Datenverkehr!Von wegen man benötigt zur Ausnutzung einen ganzen Serverpark und eine Infrastruktur wie die NSA.
Benutzerinformationen überspringen
User
Registrierungsdatum: 10.03.2005
Derivat: Ubuntu
Architektur: 64-Bit PC
Desktop: GNOME 3.0
Andere Betriebssysteme: debian
Er könnte nun aber zwei Jahre Datenverkehr entschlüsseln, wenn er gezielt den Finanzamt https Datenstrom angezapft hätte. Außerdem weiß man ja nicht, ob Jemand außer der NSA, die es ja bereits dementiert hat, den heartbeat bug in den letzten zwei Jahren bereits kannte, die Audit-Tools mit denen man das in Finnland und bei Google entdeckte gab es ja auch schon vorher. Gesetzt den Fall jemand hat insgeheim so einen Audit gezielt an OpenSSL vorgenommen um ihn auszunutzen, dann hätte er auch gezielt ohne viel technischen Aufwand und Traffic den Datenstrom bestimmter Stellen abschöpfen können, oder nach der Lücke Websites scannen können und dort sporadisch den Datenstrom anzapfen können in der Hoffnung irgendwann geht schon ein Schlüssel ins Netz. Mit dem Schlüssel kann man dann gezielt weiter arbeitet, eventuell Zugang zu ganzen Systemen bekommen und dort unverschlüsselte (in dem Fall aber egal) Datenbanken zu ziehen, keine Ahnung, was dann im Einzelnen so alles möglich wird.Klar nicht aber der Hacker wird auch die Lücke direkt ausgenutzt haben! Dazu braucht es auch nicht zwei Jahre Datenverkehr!
Na, weshalb wohl? Der Bug ist ja in den Logs nicht nachweisbar, sondern nur, wenn man den gesamten Traffic mitschneidet. So etwas wird wohl beim kanadischen Finanzamt gemacht, sonst hätten sie jetzt das Nachsehen. Oder sie haben sich Amtshilfe bei den nationalen Sicherheitsdiensten geholt . Wahrscheinlich setzen sie dort auch Perfect Forward Secrecy ein, wer weiß? Die andere Überlegung, die mir in den Sinn kam, als die Meldung Vorgestern auftauchte, war, dass sie selbst die 900 SIN verschlampt haben und nun heartbleed als Propaganda nutzen um diesen Fall zu verschleiern. Aber diese Vermutung sollte ja dann wohl in die falsche Richtung gehen, wie sich nun herausstellt.Komischerweise wurde er auch erwischt
Ja, das ist wohl jetzt nötig.Die Forward Security ist notwendig um den Geheimdiensten die Arbeit zu erschweren!
Sofern man seine wichtigsten Passwörter getauscht und ein Auge auf die "vertrauenswürdige" Seite hat!Aber da der Heartbleed-Bug jetzt von den meisten gefixt ist kann man wieder etwas sicherer im Netz surfen.
Ja ich auch langsam Happy surfing!So und jetzt hab ich genug vom Thema Bis zum nächsten Sicherheitsbug
Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »floogy« (17.04.2014, 22:35)
Benutzerinformationen überspringen
User
Registrierungsdatum: 28.07.2011
Derivat: Kein Ubuntu-Derivat
Version: gar kein Ubuntu
Architektur: 64-Bit PC
Desktop: unbekannt
Zitat
Weiss jemand wo man dieses Zeug, welches Poettering raucht, kaufen kann? Und brennt das dann auch mit nem normalen Feuerzeug? Oder brauch ich da jointd dazu, um den Rauch zu erzeugen?
Benutzerinformationen überspringen
User
Registrierungsdatum: 10.03.2005
Derivat: Ubuntu
Architektur: 64-Bit PC
Desktop: GNOME 3.0
Andere Betriebssysteme: debian
Sponsorenwerbung: |
Hardware, Computer, PCs, Notebooks & Laptops mit Linux |
Forensoftware: Burning Board®, entwickelt von WoltLab® GmbH
Individuelle Notebooks Laptops - Individuelle Computer PCs - Linux Notebooks & Computers
Lastminute - Ubuntu Linux - Abmahnung - Geek und Nerd Shirt Shop
T-Shirts - sanierung wien